• IT-Karriere:
  • Services:

Verschlüsselung wurde nicht detailiert untersucht

Ein großer Streitpunkt beim BeA war bisher die verwendete Verschlüsselung. Ursprünglich hatte die Bundesrechtsanwaltskammer behauptet, dass es sich um eine Ende-zu-Ende-Verschlüsselung handele. Das ist allerdings nicht korrekt, da die Nachrichten in einem Hardware-Sicherheitsmodul (HSM) entschlüsselt und neu verschlüsselt werden.

Stellenmarkt
  1. thinkproject Deutschland GmbH, Köln, München
  2. ALTANA Management Services GmbH, Wesel bei Düsseldorf

Die Verwendung des HSMs ist eine Grundsatzfrage, und alle bisherigen Aussagen der Bundesrechtsanwaltskammer deuten darauf hin, dass diese daran nichts ändern möchte. Eine Gruppe von Anwälten hat vor kurzem mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage eingereicht, mit der eine Ende-zu-Ende-Verschlüsselung erzwungen werden soll.

Doch unabhängig davon, ob ein HSM verwendet wird oder nicht, stellt sich die Frage, welche Verschlüsselungstechniken und Algorithmen zum Einsatz kommen. Dazu sagt das Gutachten nahezu nichts. Es wird lediglich oberflächlich die HSM-Konstruktion beschrieben und etwa erläutert, wie Postfächer erstellt und deren zugehörige Zertifikate signiert werden.

Darstellung in Geheimdokumenten von Atos laut Secunet mangelhaft

Secunet verweist im Gutachten darauf, dass die hierzu gelieferte Dokumentation von Atos mangelhaft sei: "Vermisst wurde eine genaue Darstellung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom BeA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Geschlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen."

Da in letzter Zeit bei anderen Nachrichtenverschlüsselungstechniken einige gravierende und bislang unterschätzte Gefahren aufgetaucht sind - Stichwort Efail - wirkt dies wenig überzeugend.

Weiter heißt es: "Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden." Das Feinkonzept und das Kryptokonzept wiederum sind Dokumente, die Secunet von Atos zur Verfügung gestellt wurden, die aber für die Öffentlichkeit und die Rechtsanwälte nicht zugänglich sind.

Fehlende Zertifikatsprüfung und unkontrollierter Dateiupload

Trotz der spärlichen Details wird durch das Gutachten deutlich, dass eine ganze Reihe von weiteren Sicherheitsproblemen im BeA bestehen, die teilweise bislang auch nicht bekannt waren. So wurde etwa beim Nachrichtenversand auf eine Prüfung der Zertifikate und damit der Empfängerschlüssel verzichtet. Außerdem war es möglich, beliebige Dateien auf dem BeA-Server abzulegen, was zwar die Sicherheit des Systems nicht direkt gefährdet, aber einen Mißbrauch der Infrastruktur ermöglicht. Doch obwohl diese Lücken nicht zu unterschätzen sind, lassen sich die meisten davon relativ einfach mit einem Sicherheitsupdate der Software beheben.

Nach der Vorstellung der Brak soll es jetzt schnell weitergehen. Am 27. Juni werden die Präsidenten der lokalen Rechtsanwaltskammern zu einer Hauptversammlung zusammenkommen. Dort soll die Wiederinbetriebnahme des BeA beschlossen werden. Bereits am 4. Juli soll dann die Client-Software wieder zum Download angeboten werden. Am 3. September würde, wenn es nach den Vorschlägen der Brak geht, das BeA wieder online gehen. Auch die Nutzungspflicht für Rechtsanwälte soll ab dann wieder gelten. Angesichts der ungelösten Probleme dürfte das ein sehr ambitionierter Zeitplan sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ungelöstes Problem mit Javascript-Code vom Server
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. (u. a. The Elder Scrolls: Skyrim VR für 26,99€, Wolfenstein 2: The New Colossus für 11€, Prey...
  2. 16,99€
  3. (u. a. This War of Mine für 4,75€, Children of Morta für 11,99€, Frostpunk für 9,99€, Beat...

intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hab (Golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.


Folgen Sie uns
       


    •  /